Androidversie wachtwoordmanager LastPass bevat allerlei trackers
De Androidversie van wachtwoordmanager LastPass bevat alle trackers, waaronder meerdere van Google. Dat ontdekte beveiligingsonderzoeker Mike Kuketz nadat hij de app door het Exodus-platform liet controleren. Exodus is een "privacy-auditplatform" voor Android-applicaties. De controle leverde in totaal zeven trackers op: AppsFlyer, Google Analytics, Google CrashLytics, Google Firebase Analytics, Google Tag Manager, MixPanel en segment.
Volgens Kuketz horen dergelijk trackers niet thuis in een wachtwoordmanager die zeer gevoelige informatie verwerkt. "Welke gegevens deze modules verzamelen en naar derde partijen versturen zijn soms voor zelfs de app-ontwikkelaars, die de modules aan hun apps toevoegen, niet duidelijk", aldus de onderzoeker over de aanwezige trackers.
Kuketz stelt dat de trackers data versturen zonder dat gebruikers om toestemming wordt gevraagd. Het tracken vindt ook tijdens het gebruik van de app plaats. "Zelfs als de trackers geen contentdata ontvangen, volgen ze de gebruiker nog steeds overal wanneer die LastPass gebruikt en ontvangen daarbij metadata." Het gaat dan bijvoorbeeld om informatie over een nieuw wachtwoord, adres of bankrekening, verschillende user-ID's en informatie over het gebruikte apparaat.
De onderzoeker concludeert dat de huidige Androidversie van LastPass waarschijnlijk in strijd met de AVG is. Daarnaast noemt hij de aanpak van het bedrijf wat security betreft "zeer twijfelachtig". Andere wachtwoordmanagers zoals 1Password en KeePass bevatten volgens de scan van Exodus geen trackers. In wachtwoordmanager Bitwarden worden twee trackers gevonden, terwijl wachtwoordkluis Dashlane er vier telt.
In een reactie tegenover The Register laat LastPass weten dat er geen gevoelige persoonlijke identificeerbare data of gegevens van de wachtwoordkluis naar de trackers worden verstuurd. De trackers verzamelen alleen "beperkte statistische data" over het gebruik van LastPass wat het bedrijf gebruikt om het product te verbeteren, aldus een woordvoerder. LastPass kwam onlangs nog in het nieuws omdat het het gebruik van de gratis versie gaat beperken tot één type apparaat.
Reacties (28)
26-02-2021, 12:52 door
Anoniem
<online password managers>
Klinkt als een goed plan toch?
Klinkt als een goed plan toch?
26-02-2021, 13:04 door
Anoniem
Door Anoniem: <online password managers>
Klinkt als een goed plan toch?
Klinkt als een goed plan toch?
Is het ook. Het toevoegen van trackers staat daar volledig buiten.
- Rexodus
26-02-2021, 13:07 door
tarunjj
Beter als losse post-it notes of Excelsheets.
26-02-2021, 13:27 door
Anoniem
Online password manager is een veel beter plan dan post it's, excel bestanden, wachtwoord vergeten knopje of overal hetzelfde wachtwoord.
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
26-02-2021, 13:43 door
Anoniem
Bitwarden natuurlijk
26-02-2021, 14:15 door
Anoniem
Wanneer je Aurora Store gebruikt zie je gelijk de data van Exodus. Het is vaak schrikken welke applicaties trackers gebruiken en dan nog het totaal.
Paar willekeurige bedrijven waar ik klant ben:
Rabobank 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rabomobiel/latest/
CZ 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.cz.app/latest/
Ziggo 4 trackers https://reports.exodus-privacy.eu.org/en/reports/com.lgi.ziggotv/latest/ Ziggo heeft blijkbaar ondertussen toch besloten dat die trackers van Facebook niet zo'n heel goed idee waren. Terwijl de 'klantenservice' mij toch duikelijk te kennen gaf dat ze privacy heel serieus namen.
Firefox 3 trackers https://reports.exodus-privacy.eu.org/en/reports/org.mozilla.firefox/latest/ absurd! Sowieso het eerste wat Firefox tegenwoordig doet bij opstarten is data delen met Google.
PostNL 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.tpp.mobile.android/latest/
Als bonus DigiD 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
Labels van Mediahuis en DPG Media mag je zelf opzoeken, die hebben blijkbaar echt helemaal niets op met privacy.
Uiteraard gebruik ik geen één van bovenstaande apps, op Firefox na. Nog steeds kijken mensen mij raar aan dat ik privacy belangrijk vind (of zou dat ergens anders aan liggen?) en dit soort applicaties niet adviseer.
Paar willekeurige bedrijven waar ik klant ben:
Rabobank 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rabomobiel/latest/
CZ 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.cz.app/latest/
Ziggo 4 trackers https://reports.exodus-privacy.eu.org/en/reports/com.lgi.ziggotv/latest/ Ziggo heeft blijkbaar ondertussen toch besloten dat die trackers van Facebook niet zo'n heel goed idee waren. Terwijl de 'klantenservice' mij toch duikelijk te kennen gaf dat ze privacy heel serieus namen.
Firefox 3 trackers https://reports.exodus-privacy.eu.org/en/reports/org.mozilla.firefox/latest/ absurd! Sowieso het eerste wat Firefox tegenwoordig doet bij opstarten is data delen met Google.
PostNL 4 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.tpp.mobile.android/latest/
Als bonus DigiD 3 trackers https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
Labels van Mediahuis en DPG Media mag je zelf opzoeken, die hebben blijkbaar echt helemaal niets op met privacy.
Uiteraard gebruik ik geen één van bovenstaande apps, op Firefox na. Nog steeds kijken mensen mij raar aan dat ik privacy belangrijk vind (of zou dat ergens anders aan liggen?) en dit soort applicaties niet adviseer.
26-02-2021, 14:17 door
Anoniem
Maar jongens, je kan toch ook gewoon een locale password manager gebruiken met MFA. Je hoeft niet gelijk terug te rollen op post-it's.
26-02-2021, 14:17 door
Anoniem
Door Anoniem: Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Kijk eens rond in F-Droid. Vind je veel applicaties die privacy nog serieus nemen.
26-02-2021, 14:31 door
Anoniem
Door Anoniem: Online password manager is een veel beter plan dan post it's, excel bestanden, wachtwoord vergeten knopje of overal hetzelfde wachtwoord.
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Wordt wel een beetje stil van deze uitkomst, ik heb een hoop gebruikers op lastpass gezet met onder andere het argument dat deze bedrijven begrijpen dan zij alleen kunnen bestaan met het vertrouwen van de gebruikers. Gratis zijn zou vooral een model zijn om te kunnen groeien en mensen aan de functie te kunnen laten wennen. :(
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Ikzelf ben recent naar volle tevredenheid overgestapt naar Bitwarden!
26-02-2021, 14:42 door
Anoniem
Door Anoniem:
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
Bij mijn werkgever gebruiken we Keeper als password manager. Zover ik kan zien/horen/lezen voldoet die aan al jouw punten. Zijn ook erg serieus als het gaat om hun beveiliging, al was Lastpass dat ook..
26-02-2021, 15:06 door
Anoniem
Toeval of niet, in de Duitse C'T staat een volledige test van 25 huidige password managers en of ze trackers gebruiken, er zijn er maar enkele die dat niet doen. En trackers gebruiken is ook helemaal niet nodig.
Zonder trackers zijn: 1password, keepass2 android, msecure, saferpass, securesafe
https://www.heise.de/select/ct/2021/5/2101810342869734016
Zonder trackers zijn: 1password, keepass2 android, msecure, saferpass, securesafe
https://www.heise.de/select/ct/2021/5/2101810342869734016
26-02-2021, 15:12 door
Anoniem
Door Anoniem: Online password manager is een veel beter plan dan post it's, excel bestanden, wachtwoord vergeten knopje of overal hetzelfde wachtwoord.
Ik twijfel wel aan die uitspraak. Want online veiligheid kan niet gegarandeerd worden, en wie heeft dan je wachtwoorden (en dan ook gelijk allemaal) in handen? Dan maar een offline postit waar alleen je eigen collega's zicht op hebben. Een offline passwordmanager is wat mij betreft de beste keus. Misschien niet heel handig om uit te wisselen tussen je devices, maar een stukje extra veiligheid is dat wel waard.
26-02-2021, 15:25 door
Anoniem
Niet onverwacht bij een "gratis" product, toch?
26-02-2021, 16:15 door
Anoniem
Door Anoniem: Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
KeePassXC (keepassxc.org) is een gratis en open source wachtwoordmanager (met een GNU GPL 2.0 licentie), uitgevoerd als Qt5 multiplatform applicatie voor Windows, macOS en Linux. Het kan worden gebruikt in combinatie met een YubiKey en het heeft de zegen van de Electronic Frontier Foundation en Tails gekregen.
https://en.wikipedia.org/wiki/KeePassXC
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Dan blijft over: de keuze voor Bitwarden (bitwarden.com), al eerder genoemd, dat naast de stand alone versie voor Windows, macOS en Linux (met GNU GPLv3 and AGPLv3 licenties), ook een versie voor Android en iOS en browser extensies voor Brave, Chrome, Firefox en Opera heeft uitgebracht.
https://en.wikipedia.org/wiki/Bitwarden
Bitwarden zou dus een serieuze open source vervanger voor LastPass kunnen zijn, en KeePassXC een goed alternatief.
26-02-2021, 18:55 door
Anoniem
De trackers verzamelen alleen "beperkte statistische data" over het gebruik van LastPass wat het bedrijf gebruikt om het product te verbeteren
Het standaard antwoord voor alle trackers, cookies, onnodige rotzooi en wat er al niet in een applicatie of app wordt verwerkt: "we verbeteren het product" of "we verbeteren de gebruikerservaring". En dan boos worden wanneer je die rotzooi blokkeert.
26-02-2021, 19:32 door
Anoniem
Door Anoniem: Niet onverwacht bij een "gratis" product, toch?
Hoezo gratis? Ik betaal er voor...
Veel Bitwarden-fans zie ik! Tijdens het schrijven van “Pas op je passwords” (geënt op een breed publiek) ben ik overgestapt van LastPass naar Bitwarden wegens gebruikersvriendelijkheid, ondersteuning en open source. Mocht je mee willen stemmen de trackers in Bitwarden ook naar 0 te krijgen:
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
27-02-2021, 10:45 door
Anoniem
N.a.v. Dit artikel maar eens gekeken wat de Keepass Touch doet op mijn iOS ding.
Slechts met het opstarten 1x firebaselogging-pa.googleapis.com /v1firelog/legacy/batchlog
Niks herleidbaars naar mijn device (op een VPN IP na). Altijd al voorstander geweest van OFFLINE password managers en wederom bevestigd.
Slechts met het opstarten 1x firebaselogging-pa.googleapis.com /v1firelog/legacy/batchlog
Niks herleidbaars naar mijn device (op een VPN IP na). Altijd al voorstander geweest van OFFLINE password managers en wederom bevestigd.
Door Anoniem:
KeePassXC (keepassxc.org) is een gratis en open source wachtwoordmanager (met een GNU GPL 2.0 licentie), uitgevoerd als Qt5 multiplatform applicatie voor Windows, macOS en Linux. Het kan worden gebruikt in combinatie met een YubiKey en het heeft de zegen van de Electronic Frontier Foundation en Tails gekregen.
https://en.wikipedia.org/wiki/KeePassXC
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Door Anoniem: Iemand goede suggesties voor een password manager? Flexibel, multi platform, gebruikersvriendelijk, samenwerk mogelijkheden en last but not least: het vertrouwen waard.
KeePassXC (keepassxc.org) is een gratis en open source wachtwoordmanager (met een GNU GPL 2.0 licentie), uitgevoerd als Qt5 multiplatform applicatie voor Windows, macOS en Linux. Het kan worden gebruikt in combinatie met een YubiKey en het heeft de zegen van de Electronic Frontier Foundation en Tails gekregen.
https://en.wikipedia.org/wiki/KeePassXC
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Keepass2Android Offline
Philipp Crocoll (Croco Apps)
https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet
Werkt uitstekend!
28-02-2021, 10:23 door
Anoniem
Door Anoniem: Maar jongens, je kan toch ook gewoon een locale password manager gebruiken met MFA. Je hoeft niet gelijk terug te rollen op post-it's.
Ja dat kan. Je kunt ook een LUKS-container maken met daarin .txt bestanden met je geheimen en die op je server zetten zodat je er overal vanaf bij kan. Online wachtwoordmanagers maken dat alleen een stuk makkelijker voor je met een mooie frontend en apps voor je telefoon en browser.
28-02-2021, 12:07 door
Anoniem
Door Anoniem:
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Het enige nadeel is dat er geen Google Android versie van KeePassXC beschikbaar is, en dat het ooit verschijnen van een Apple iOS versie niet waarschijnlijk is. Wel bestaat er hiervan weer onafhankelijke doorontwikkelde forks van KeePass op F-Droid.org (zie daar, onder verschillende namen), dus dat zou een serieuze optie kunnen zijn.
Daarvoor heb je https://www.keepassdx.com/, werkt goed en is open source.
Als je een Yubikey wilt gebruiken moet je voor Bitwarden betalen (al is €10,- per jaar niet veel), KeepassXC ondersteunt dit standaard.
28-02-2021, 15:42 door
Kaler
Door mackaaij: Veel Bitwarden-fans zie ik! Tijdens het schrijven van “Pas op je passwords” (geënt op een breed publiek) ben ik overgestapt van LastPass naar Bitwarden wegens gebruikersvriendelijkheid, ondersteuning en open source. Mocht je mee willen stemmen de trackers in Bitwarden ook naar 0 te krijgen:
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
https://community.bitwarden.com/t/remove-embedded-trackers-from-bitwarden/18925
En daaronder staat een post met uitleg om de F-Droid repository-versie te gebruiken die de twee trackers niet bevat.
Directe link naar de FAQ met uitleg betreffende trackers:
https://bitwarden.com/help/article/security-faqs/#q-what-third-party-services-libraries-or-trackers-are-used
28-02-2021, 17:52 door
Anoniem
Door Anoniem:
Een offline passwordmanager is wat mij betreft de beste keus. Misschien niet heel handig om uit te wisselen tussen je devices, maar een stukje extra veiligheid is dat wel waard.
Door Anoniem: Online password manager is een veel beter plan dan post it's, excel bestanden, wachtwoord vergeten knopje of overal hetzelfde wachtwoord.
Ik twijfel wel aan die uitspraak. Want online veiligheid kan niet gegarandeerd worden, en wie heeft dan je wachtwoorden (en dan ook gelijk allemaal) in handen? Dan maar een offline postit waar alleen je eigen collega's zicht op hebben. Een offline passwordmanager is wat mij betreft de beste keus. Misschien niet heel handig om uit te wisselen tussen je devices, maar een stukje extra veiligheid is dat wel waard.
HEAR HEAR, je maaide het gras voor me weg :). het idee dat een grote DB online veiliger is dan post-its in elke cubicle in elk kantoor verspreid over de wereld is op zijn minst aanvechtbaar!
28-02-2021, 17:56 door
Anoniem
en wat beschermen die online password managers mij en de machines waarvoor ik de wachtwoorden opsla nu tegen een stukje malware op mijn windows pc dat keylogged en history files van browsers kaapt? het idee van 2FA is dat de 2e factor van een ANDER device komt...
28-02-2021, 23:37 door
Anoniem
Die zogenaamde trackers zoals Firebase en Crashlytics zijn essentieel voor ons als Developers. Denk je dat al die ontwikkelingen van de door jou gebruikte apps voortvloeien uit lieve mensen die hun bugreports opsturen?
01-03-2021, 08:49 door
Anoniem
Goede password manager: PasswordSafe. OpenSource, multiplatform geen trackkers. De "safe" is één file die je eventueel in de cloud kun zetten. Werkt onder ander met de Yubikey. Misschien niet het mooiste ontwerp, maar werkt wel.
01-03-2021, 13:23 door
Anoniem
Hoe leg je het nut van een 'wachtwoordmanager' uit aan je vriendin of aan opa en oma? Welke app raad je ze dan het best aan? Want er zijn er vele tientallen... Moeilijk.
Wachtwoordmanagers: welke moet je hebben?
uitzending Kassa, item vanaf: 24m:20s
https://www.npostart.nl/kassa/13-02-2021/BV_101404358
met Daniël Verlaan (RTL Nieuws), techjournalist,
en bekend van https://laatjeniethackmaken.nl
In de Kassa uitzending worden door Daniël deze genoemd: LastPass (ook in het Nederlands en "gratis"), 1PassWord (alleen Engelstalig en vanaf €3,= per maand), Bitwarden (heus niet alleen voor nerds), KeePass (de beste keuze, maar dit vergt aardig wat expertise) en Dashlane (ook populair, een redelijk goede keuze).
Stappenplan: zó zorg je voor een goed systeem
https://www.bnnvara.nl/kassa/artikelen/wachtwoordmanager-wat-is-het-en-welke-moet-je-hebben
Wachtwoordmanagers: welke moet je hebben?
uitzending Kassa, item vanaf: 24m:20s
https://www.npostart.nl/kassa/13-02-2021/BV_101404358
met Daniël Verlaan (RTL Nieuws), techjournalist,
en bekend van https://laatjeniethackmaken.nl
In de Kassa uitzending worden door Daniël deze genoemd: LastPass (ook in het Nederlands en "gratis"), 1PassWord (alleen Engelstalig en vanaf €3,= per maand), Bitwarden (heus niet alleen voor nerds), KeePass (de beste keuze, maar dit vergt aardig wat expertise) en Dashlane (ook populair, een redelijk goede keuze).
Stappenplan: zó zorg je voor een goed systeem
https://www.bnnvara.nl/kassa/artikelen/wachtwoordmanager-wat-is-het-en-welke-moet-je-hebben
05-03-2021, 08:43 door
Anoniem
Door Anoniem: Welke app raad je ze dan het best aan? Want er zijn er vele tientallen... Moeilijk.
De top 3
Bitwarden
KeePassXC
LessPass
https://www.privacytools.io/software/passwords/
LessPass is een woordspeling op "LastPass", maar LessPass werkt anders, is veiliger en eenvoudiger. Geen gedoe meer met synchroniseren en een derde partij is overbodig. Het zal wel even wennen zijn, het idee dat al je wachtwoorden nergens meer zijn opgeslagen, afgezien van die ene in je hoofd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
